Werk jij op je privélaptop? Wees dan extra alert

De sleutelrol van privésystemen

Meerdere wegen leiden naar Rome. En zo is het ook voor criminele hackers in hun weg om geld te verdienen. "Linksom of rechtsom, ze zijn maar op één ding uit; zoveel mogelijk geld met zo min mogelijk moeite verdienen", vertelt Butcher. "Het stelen van inloggegevens voor social media-accounts of jouw Netflix-account, met dergelijke informatie verdienen cybercriminelen een paar euro via zogenoemde darknet marketplaces. Ze moeten dan aardig wat systemen hacken, voordat ze er rijk van worden."
 

Waar een deel van de criminele hackers het bij deze business gericht op individuen houdt, gaan anderen volgens de cyberexpert een stap verder: "Wat als ik als cybercrimineel op een privélaptop kijk en naast inloggegevens voor Netflix ook die van het werkmail-account vind? In zo'n geval kunnen criminele hackers misschien wel bij dat bedrijf binnenkomen, waar veel meer te halen valt. Als dat lukt, dan kunnen ze bij dat bedrijf aan de gang; bijvoorbeeld data stelen, ransomware starten en miljoenen vragen om weer toegang tot die data te krijgen.”

“Er zijn zoveel keuzes en cybercriminelen specialiseren zich in verschillende manieren om geld te verdienen. Zo zijn er bijvoorbeeld bendes die zich volledig richten op het binnendringen bij bedrijven. Wanneer dat lukt verkopen ze die toegang door aan anderen die vervolgens de IT-systemen overnemen en ransomware starten. Zo opereert ieder vanuit zijn eigen criminele expertise. Net als binnen de ‘legitieme’ industrie creëert dat een zeer efficiënte en schaalbare gemeenschap van samenwerkende specialisten. Indrukwekkend, maar helaas niet in het voordeel van onze maatschappij.”

Van privésysteem naar bedrijf

Hoe komen cybercriminelen via persoonlijke systemen eigenlijk bij een bedrijf binnen? "Nou, cybercriminelen weten dat accounts toegang geven, dus ze zoeken daar heel gericht naar", vertelt Butcher. "Als je geen tweestapsverificatie gebruikt en ze vinden je bedrijfswachtwoord op een privésysteem, dan hebben ze direct alles wat ze nodig hebben om als 'jou' bij dat bedrijf in te loggen. Daarom wordt er de laatste jaren door iedereen in de wereld van cybersecurity op het overal gebruiken van tweestapsverificatie gehamerd.”

Echter, tweestapsverificatie is niet de heilige graal. Criminele hackers worden met de dag vernuftiger legt Butcher uit. "Het is een kat-en-muis spel, een wapenwedloop. Jaren geleden zagen we al geavanceerde aanvallen die tweestapsverificatie omzeilden. Inmiddels is dat binnen criminele kringen vrij normaal geworden. Veel infostealers, malware die wachtwoorden en dergelijke stelen van geïnfecteerde computers, pikken nu ook zogenoemde ‘session cookies’ mee. Dit zijn stukjes data die aantonen dat de gebruiker al ingelogd is; als een hacker die heeft, dan kan hij toegang krijgen tot het systeem zonder opnieuw via tweestapsverificatie in te loggen. Genesis Market, bekend van een recente wereldwijde politieactie, was één van de vele voorbeelden van de bloeiende handel binnen de cybercrime gemeenschap rondom dit soort tools, technieken en gestolen data.”

De cyberexpert vervolgt dat het echt gebeurt en het een risico is waar bedrijven serieus rekening mee moeten houden. "In onze onderzoeken hebben we bijvoorbeeld gezien dat een medewerker vanaf een privélaptop werkt en met behulp van tweestapsverificatie op een bedrijfssysteem inlogt. Kort daarna zien we plots dat iemand vanuit het buitenland op hetzelfde bedrijfssysteem binnenkomt. Zonder tweestapsverificatie... De cybercrimineel heeft dan de session cookie van de gebruiker gestolen en kreeg daarmee gelijk toegang tot het bedrijf."

Privé en werk technisch koppelen (of niet)

Als jij als bedrijf medewerkers vanaf persoonlijke systemen laat werken, dan brengt dit risico's met zich mee. De kans dat criminele hackers via de persoonlijke systemen jouw bedrijf binnenhacken, valt niet volledig dicht te timmeren. Maar volgens Butcher zijn er wel enkele eenvoudige stappen te zetten en beslissingen te nemen om de kans te verkleinen.

Volgens de cyberexpert begint het met het bewustzijn van het risico, door zowel de medewerker als het bedrijf. "Ga je met je laptop of smartphone het internet op, bezoek je de ene na de andere website en download je regelmatig apps, dan stel je jezelf daarmee bloot aan potentiële aanvallen. Op onze persoonlijke systemen zijn we vaak 'losbandiger' dan op onze werkcomputer of -telefoon, die we over het algemeen vaak alleen voor werkzaken gebruiken. Dit maakt dat de kwetsbaarheid van bedrijfssystemen kleiner is. Gebruik je één systeem zowel voor werk als privé, dan kan het verhoogde risico van privégebruik tot een verhoogd risico voor het bedrijf leiden."

• Als bedrijf heb je de keuze of medewerkers vanaf privé-systemen mogen werken.  Onderbouw die keuze met goed begrip van de voor- en nadelen inclusief het beschreven cyberrisico.
• Train medewerkers, zodat ze de risico’s begrijpen, weten hoe ze zich veilig op het internet moeten gedragen, en de kans dat ze gehackt worden kunnen verkleinen. Deze kennis beschermt dubbel; zowel als ze op bedrijfssystemen als op eigen privé-systemen werken.
• Gebruik waar mogelijk tweestapsverificatie. Het maakt het voor cybercriminelen niet onmogelijk om binnen te komen, maar wel een stuk moeilijker.
• Richt security monitoring in, zodat je verdachte activiteit van een gebruikersaccount kunt detecteren. Hiermee voorkom je niet dat criminele hackers binnenkomen, maar het helpt wel om ze snel in het vizier te krijgen. Criminele hackers gedragen zich vaak net anders dan een normale medewerker, en door dat verschil kun je ze opsporen. Tenminste, als je dit digitaal in de gaten houdt. Of medewerkers nu vanaf privé- of werklaptops de bedrijfssystemen benaderen, als bedrijf kun je in beide gevallen die systemen in de gaten houden.

Voorgaand zijn een aantal beveiligingsmaatregelen die je als bedrijf kunt treffen. “Wat je precies nodig hebt om je bedrijf optimaal te beschermen, moet je eigenlijk baseren op concreet begrip van de risico’s", aldus Butcher. "Als je medewerkers toestaat om vanaf privé-systemen te werken, hoe zou een criminele hacker daar dan misbruik van kunnen maken? Heb je dit scherp, dan kun je jouw bedrijf er goed tegen beschermen. Niet te veel security, want dat kost geld, maar ook niet te weinig, want dan loop je te veel risico.”

Zou jij jouw bedrijf graag beter voor morgen willen beveiligen? Fox-IT, expert op het gebied van cyberbeveiliging, helpt bedrijven digitaal veiliger te maken.